Fiche de révision : Protection des Données Personnelles

📋 Plan du Cours

1. Historique protection données
2. Projet SAFARI 1973
3. Loi Informatique Libertés 1978
4. Directive européenne 1995
5. Réforme 2004
6. Loi pour une République numérique 2016
7. RGPD 2018
8. Données personnelles définition
9. Catégories données personnelles
10. Traitement de données
11. Organismes concernés RGPD
12. Champ territorial RGPD

📖 1. Historique protection données

🔑 Notions clés & Définitions

• Projet SAFARI (1973)
  Système automatisé pour les fichiers administratifs et le répertoire des individus, visant à interconnecter les fichiers des administrations pour centraliser les données personnelles. Il a révélé les risques liberticides liés à l’informatique.

• Loi Informatique et Libertés (1978)
  Loi française établissant que l’informatique doit respecter la vie privée, les droits de l’homme et les libertés publiques. Elle crée la CNIL, autorité indépendante chargée de veiller à la conformité des traitements de données.

• Directive européenne 95/46/CE (1995)
  Cadre commun européen pour la protection des données personnelles, imposant aux États membres d’adopter une législation nationale et de créer une autorité de contrôle indépendante.

• RGPD (2016-2018)
  Règlement général sur la protection des données, renforçant les droits des personnes, responsabilisant les acteurs et permettant des sanctions. Il s’applique depuis mai 2018 dans toute l’UE, en complément de la législation nationale.

• Données à caractère personnel
  Toute information se rapportant à une personne physique identifiable, directement ou indirectement, par exemple nom, numéro d’identification, localisation ou identifiant en ligne.

• Traitement de données personnelles
  Opération ou ensemble d’opérations effectuées sur des données, telles que la collecte, l’enregistrement, la conservation, la transmission ou la modification, visant à gérer ou exploiter ces données.

📝 Points essentiels

• Le projet SAFARI (1973) a suscité une prise de conscience des risques liberticides liés à l’informatique, menant à la création de la CNIL en 1978.
• La loi de 1978 pose les bases de la protection en France, notamment la création d’une autorité indépendante.
• La directive européenne de 1995 harmonise la législation dans l’UE, imposant la mise en place d’autorités de contrôle.
• Le RGPD, adopté en 2016 et appliqué en 2018, renforce la protection, la responsabilisation et les sanctions, tout en s’appuyant sur une législation nationale complémentaire.
• La notion de données personnelles couvre toute information permettant d’identifier une personne, directement ou indirectement.

💡 À retenir

L’évolution de la protection des données, depuis le projet SAFARI jusqu’au RGPD, montre une progression vers une responsabilisation accrue des acteurs et une protection renforcée des droits des individus face aux risques liés à l’informatique et à la collecte massive de données.

📖 2. Projet SAFARI 1973

🔑 Notions clés & Définitions

• Projet SAFARI : Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus, lancé en 1973 par le gouvernement français pour interconnecter les fichiers administratifs via le numéro de sécurité sociale, afin de recenser, recouper et centraliser les données des citoyens.
• Risques liberticides : dangers potentiels liés à l’utilisation de l’informatique pour la surveillance, la centralisation excessive des données, pouvant porter atteinte aux libertés individuelles et à la vie privée.
• Loi Informatique et Libertés (1978) : législation française qui établit que l’informatique doit respecter la vie privée, les droits de l’homme et la liberté individuelle, en créant notamment la CNIL.
• CNIL (Commission Nationale de l’Informatique et des Libertés) : autorité indépendante chargée de veiller à la protection des données personnelles, de contrôler les traitements et de sanctionner en cas de non-respect.
• RGPD (Règlement Général sur la Protection des Données, 2016) : règlement européen renforçant la protection des données personnelles, en responsabilisant les acteurs et en renforçant les droits des individus, applicable depuis 2018.

📝 Points essentiels

• Le projet SAFARI, dévoilé en 1974, a suscité une forte opposition en raison de ses implications liberticides, conduisant à son abandon et à la création de la CNIL.
• La loi de 1978 a posé les bases de la protection des données en France, en instaurant la CNIL comme autorité de contrôle indépendante.
• La directive européenne de 1995 a harmonisé la législation des États membres, préparant le terrain pour le RGPD.
• La réforme de 2004 a étendu la protection aux fichiers papier, renforcé les pouvoirs de la CNIL, et introduit la fonction de CIL.
• Le RGPD, entré en vigueur en 2018, a renforcé les droits des personnes, responsabilisé les acteurs et prévu des sanctions en cas de non-conformité.
• La crainte de réidentification à partir de données dépersonnalisées, notamment via le croisement d’informations, a accru la vigilance sur la protection des données.

💡 À retenir

Le projet SAFARI a été le point de départ d’une longue évolution réglementaire visant à encadrer la collecte, le traitement et la centralisation des données personnelles, afin de préserver les libertés face aux risques liés à l’informatique.

📖 3. Loi Informatique Libertés 1978

🔑 Notions clés & Définitions

• Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (ex : nom, numéro de sécurité sociale, localisation, identifiant en ligne).
  Point essentiel : Toute donnée permettant d’identifier une personne, même indirectement, est protégée.

• Traitement de données personnelles : Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés sur des données à caractère personnel (ex : collecte, stockage, modification, transmission).
  Point essentiel : Le traitement couvre toutes les opérations effectuées sur des données, qu’elles soient automatisées ou manuelles.

• Responsable de traitement : L’organisme qui détermine les finalités et les moyens du traitement des données personnelles.
  Point essentiel : Il porte la responsabilité du respect de la loi et doit informer les personnes concernées.

• Sous-traitant : L’organisme qui traite des données pour le compte du responsable de traitement, selon ses instructions (ex : hébergeur, prestataire informatique).
  Point essentiel : Il doit respecter ses obligations contractuelles et légales, notamment en matière de sécurité.

• CNIL (Commission Nationale de l’Informatique et des Libertés) : Autorité administrative indépendante chargée de veiller à la protection des données personnelles en France, de conseiller, contrôler et sanctionner.
  Point essentiel : Elle garantit la conformité des traitements avec la loi et le RGPD.

• Données sensibles : Catégories particulières de données à caractère personnel (ex : santé, religion, opinions politiques) nécessitant une protection renforcée.
  Point essentiel : Leur traitement est strictement encadré pour préserver la vie privée.

📝 Points essentiels

• La Loi Informatique et Libertés de 1978 encadre la collecte, le traitement et la conservation des données personnelles pour protéger la vie privée et les libertés publiques.
• Elle impose aux responsables de traitement des obligations telles que l’information des personnes, la sécurité des données, et la possibilité pour les individus d’accéder, rectifier ou supprimer leurs données.
• La CNIL est l’autorité indépendante chargée de contrôler la conformité et de sanctionner les infractions.
• La loi a évolué pour intégrer le RGPD en 2018, renforçant les droits des personnes et responsabilisant davantage les acteurs traitant des données.

💡 À retenir

La Loi Informatique et Libertés de 1978, complétée par le RGPD, établit le cadre juridique français pour la protection des données personnelles, en responsabilisant les organismes et en renforçant les droits des individus face à l’utilisation de leurs données.

📖 4. Directive européenne 1995

🔑 Notions clés & Définitions

📝 Points essentiels

• La directive 95/46/CE établit un cadre commun pour la protection des données personnelles dans l’Union européenne.
• Elle impose aux États membres d’adopter une législation nationale compatible et de désigner une autorité indépendante (ex : CNIL en France).
• La directive repose sur des principes fondamentaux : licéité, transparence, finalité limitée, minimisation des données, sécurité, droits des personnes.
• Elle prévoit la possibilité de traitement pour des finalités légitimes, sous réserve du respect des droits des personnes.
• La directive a permis la création d’un socle commun, mais laisse une certaine marge de manœuvre aux États pour adapter la législation.

💡 À retenir

La directive européenne 95/46/CE a posé les bases de la protection des données personnelles dans l’UE, en instaurant des règles communes et en responsabilisant les États, afin de garantir la liberté et la vie privée des citoyens tout en facilitant la circulation des données.

📖 5. Réforme 2004

🔑 Notions clés & Définitions

• Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par exemple par un nom, un numéro d’identification, une localisation ou un identifiant en ligne.
  Point essentiel : La notion inclut aussi bien les données numériques que papier, et toute information permettant d’identifier une personne.

• Traitement de données personnelles : Toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel, telles que la collecte, l’enregistrement, la conservation, la transmission, la modification ou la suppression.
  Point essentiel : Le traitement peut être automatisé ou non, et concerne tout usage des données personnelles.

• Responsable de traitement : Organisme ou personne qui détermine les finalités et les moyens du traitement des données personnelles.
  Point essentiel : Il porte la responsabilité de la conformité au RGPD et doit informer les personnes concernées.

• CNIL (Commission Nationale de l’Informatique et des Libertés) : Autorité administrative indépendante chargée de veiller à la protection des données personnelles en France, d’informer, de contrôler et de sanctionner.
  Point essentiel : La CNIL garantit le respect des règles de protection des données et dispose de pouvoirs de sanction.

• Données à caractère personnel à caractère sensible : Données concernant la santé, la religion, les opinions politiques, ou toute information pouvant porter atteinte à la vie privée ou aux libertés fondamentales.
  Point essentiel : Leur traitement est soumis à des règles renforcées pour garantir leur confidentialité.

• Loi Informatique et Libertés (1978) : Loi française qui encadre la protection des données personnelles, établissant notamment la création de la CNIL et des principes fondamentaux de protection.
  Point essentiel : Elle constitue la première étape législative avant la réforme de 2004, en intégrant les principes de respect de la vie privée.

📝 Points essentiels

• La réforme de 2004 adapte la législation française pour transposer la directive européenne de 1995, en élargissant la notion de données personnelles et en renforçant la protection.
• La loi modifiée introduit la notion de données à caractère personnel au lieu de données nominatives, et étend la protection aux fichiers papier.
• La CNIL voit ses pouvoirs renforcés, notamment avec la possibilité de sanctionner les traitements non conformes.
• La fonction de Correspondant Informatique et Libertés (CIL) est créée pour assurer la conformité des traitements au sein des organismes.
• La réforme insiste sur la responsabilisation des acteurs traitant des données, qu’ils soient publics ou privés, et sur la nécessité de garantir la sécurité et la confidentialité des données.

💡 À retenir

La réforme de 2004 marque une étape clé dans la protection des données personnelles en France, en renforçant la législation existante, en élargissant la notion de données protégées, et en conférant à la CNIL des pouvoirs accrus pour assurer la conformité.

📖 6. Loi pour une République numérique 2016

🔑 Notions clés & Définitions

Données personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par exemple par un nom, un numéro d’identification, une localisation, ou un identifiant en ligne.
Point essentiel : La protection concerne toutes les données, qu’elles soient confidentielles ou publiques, privées ou professionnelles.

Traitement de données personnelles : Toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel, telles que la collecte, l’enregistrement, la conservation, la modification, la transmission ou la suppression.
Point essentiel : Toute action impliquant des données personnelles constitue un traitement soumis à la réglementation.

Responsable de traitement : Organisme ou personne qui détermine les finalités et les moyens du traitement de données personnelles.
Point essentiel : Il porte la responsabilité du respect du RGPD et doit informer les personnes concernées.

Sous-traitant : Organisme ou personne qui traite des données personnelles pour le compte du responsable de traitement, selon ses instructions.
Point essentiel : Il doit respecter des obligations contractuelles et légales, notamment en matière de sécurité et de confidentialité.

Champ d’application territorial du RGPD : La réglementation s’applique à toute organisation, publique ou privée, établie dans l’UE ou qui cible des personnes situées dans l’UE, indépendamment du lieu de traitement.
Point essentiel : La territorialité est déterminée par l’établissement ou le ciblage des personnes dans l’UE.

📝 Points essentiels

• La loi de 2016 renforce les droits des individus sur leurs données, notamment le droit de contrôle et de décision.
• Le RGPD, adopté en 2018, s’applique à toute organisation traitant des données de personnes dans l’UE, même hors UE si l’activité cible ces personnes.
• La CNIL, le CEPD et la CJUE jouent des rôles complémentaires dans la supervision, la coordination et l’application du RGPD.
• La responsabilité de traitement doit être clairement définie entre le responsable et le sous-traitant, avec des obligations précises pour chacun.
• La notion de traitement inclut toute opération, même simple, sur des données personnelles, ce qui implique une vigilance constante.

💡 À retenir

La Loi pour une République numérique de 2016, complétée par le RGPD, établit un cadre juridique renforcé pour la protection des données personnelles, responsabilisant les acteurs et garantissant aux individus un contrôle accru sur leurs informations dans un contexte numérique en constante évolution.

📖 7. RGPD 2018

🔑 Notions clés & Définitions

• Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par exemple par un nom, un numéro d’identification, une localisation ou un identifiant en ligne.
  Exemple : nom, prénom, email, photo.

• Traitement de données personnelles : Toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel, telles que la collecte, l’enregistrement, la conservation, la modification, la transmission ou la suppression.
  Exemple : enregistrer un contact dans une base de données.

• Responsable de traitement : L’organisme qui détermine les finalités et les moyens du traitement des données personnelles. Il est responsable de la conformité au RGPD.
  Exemple : une entreprise qui collecte des données clients.

• Sous-traitant : L’organisme qui traite des données pour le compte du responsable de traitement, selon ses instructions, souvent pour des opérations spécifiques comme l’hébergement ou la maintenance.
  Exemple : un prestataire informatique hébergeant des données.

• Consentement : Accord libre, spécifique, éclairé et univoque donné par la personne concernée pour le traitement de ses données personnelles.
  Exemple : cocher une case lors de l’inscription à un service.

• Droits des personnes : Ensemble des droits conférés aux individus concernant leurs données, tels que le droit d’accès, de rectification, d’effacement, de limitation du traitement, de portabilité et d’opposition.
  Exemple : demander la suppression de ses données.

📝 Points essentiels

• Le RGPD s’applique à toute organisation traitant des données de personnes situées dans l’UE, qu’elle soit établie dans ou hors de l’UE, si elle cible ces personnes ou surveille leur comportement.
• La responsabilité de la conformité repose sur le responsable de traitement, qui doit assurer la légalité, la transparence et la sécurité du traitement.
• Les données personnelles incluent toute information permettant d’identifier une personne, directement ou indirectement, y compris par des données croisées ou des techniques de réidentification.
• Le traitement doit respecter des principes fondamentaux : licéité, loyauté, transparence, minimisation, limitation de la conservation, intégrité et confidentialité.
• La protection des données doit être intégrée dès la conception (privacy by design) et lors de la mise en œuvre (privacy by default).
• La violation de données doit être signalée à la CNIL et aux personnes concernées dans un délai de 72 heures en cas de risque pour leurs droits et libertés.

💡 À retenir

Le RGPD impose aux organisations de garantir la protection des données personnelles en responsabilisant chaque acteur et en renforçant les droits des individus, afin de préserver leur vie privée dans un contexte numérique en constante évolution.

📖 8. Données personnelles définition

🔑 Notions clés & Définitions

• Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par exemple nom, numéro d’identification, localisation, identifiant en ligne, caractéristiques physiques ou sociales.

• Personne identifiable : Une personne pouvant être reconnue directement (par son nom, prénom, photo) ou indirectement (par un identifiant, localisation, ou combinaison d’informations).

• Traitement de données personnelles : Toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel, telles que la collecte, l’enregistrement, la conservation, la modification, la transmission ou la suppression.

• Responsable de traitement : L’organisme qui détermine les finalités et les moyens du traitement des données personnelles. Il est responsable de la conformité au RGPD.

• Sous-traitant : Organisme qui traite des données pour le compte du responsable de traitement, selon ses instructions, souvent dans le cadre de services externalisés (hébergement, maintenance).

• Données sensibles : Catégories particulières de données à caractère personnel (santé, religion, opinions politiques) nécessitant une protection renforcée.

📝 Points essentiels

• La définition juridique du RGPD inclut toute information relative à une personne physique, qu’elle soit confidentielle ou publique, privée ou professionnelle.
• La notion d’identifiabilité dépend de la possibilité de reconnaître une personne directement ou indirectement, notamment via des éléments comme un numéro, une localisation ou un identifiant en ligne.
• La réidentification à partir de données pseudonymisées ou dépersonnalisées est de plus en plus facilitée par les techniques numériques, augmentant ainsi les risques pour la vie privée.
• Le traitement englobe une large gamme d’opérations, même simples, comme la collecte ou l’envoi d’un email, dès lors qu’elles portent sur des données personnelles.
• La responsabilité du respect du RGPD incombe au responsable de traitement, mais aussi au sous-traitant, via un contrat précis.

💡 À retenir

Les données personnelles regroupent toute information permettant d’identifier une personne, et leur traitement doit respecter des règles strictes pour protéger les droits et libertés individuelles, notamment via le RGPD.

📖 9. Catégories données personnelles

🔑 Notions clés & Définitions

• Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par exemple nom, numéro d’identification, localisation, identifiant en ligne, caractéristiques physiques ou sociales.
• Données directement identifiées : Données permettant d’identifier immédiatement une personne, comme le nom, prénom, adresse email nominative ou photo.
• Données indirectement identifiées : Données ne permettant pas d’identifier seul une personne, mais pouvant le faire lorsqu’elles sont croisées avec d’autres données, comme un numéro de téléphone ou un identifiant interne.
• Traitement de données personnelles : Toute opération ou ensemble d’opérations (collecte, enregistrement, modification, transmission, etc.) effectuée à l’aide ou non de procédés automatisés, sur des données à caractère personnel.
• Responsable de traitement : Organisme qui détermine la finalité et les moyens du traitement des données personnelles.
• Sous-traitant : Organisme qui traite des données pour le compte et selon les instructions du responsable de traitement, souvent prestataire informatique ou service numérique.

📝 Points essentiels

• La définition juridique du RGPD inclut toute information relative à une personne physique identifiable, même si elle est partielle ou combinée avec d’autres données.
• La distinction entre données directement et indirectement identifiées est cruciale pour la gestion de la protection des données.
• Le traitement englobe toute opération sur des données, même minime, comme la simple collecte ou la consultation.
• Le responsable de traitement doit assurer la conformité au RGPD, notamment en informant les personnes concernées et en respectant les principes de confidentialité.
• La notion d’exception domestique limite l’application du RGPD aux usages strictement personnels, mais le fournisseur de la solution doit respecter la protection des données.

💡 À retenir

Les données personnelles regroupent toute information permettant d’identifier une personne, et leur traitement doit respecter des règles strictes pour protéger la vie privée et les libertés individuelles, sous la responsabilité du responsable de traitement ou du sous-traitant.

📖 10. Traitement de données

🔑 Notions clés & Définitions

• Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (ex : nom, numéro d’identification, localisation, identifiant en ligne).
• Traitement de données : Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés sur des données personnelles (ex : collecte, stockage, modification, transmission).
• Responsable de traitement : Organisme qui détermine la finalité et les moyens du traitement des données personnelles. Il est responsable du respect du RGPD.
• Sous-traitant : Organisme qui traite des données pour le compte et sur instruction du responsable de traitement, souvent dans le cadre d’une mission précise ou globale.
• Données directement/indirectement identifiées : Données permettant d’identifier immédiatement une personne (nom, prénom) ou via un croisement d’informations (numéro, localisation, profil).
• Exception domestique : Traitement de données personnelles effectué dans un cadre privé, à usage strictement personnel, non soumis au RGPD (ex : contacts dans un téléphone privé).

📝 Points essentiels

• Le RGPD s’applique à tout traitement de données personnelles effectué par des organismes publics ou privés, dans l’UE ou ciblant des personnes dans l’UE.
• La notion de traitement inclut toute opération sur des données, même minime, comme la collecte, l’enregistrement, la transmission ou la modification.
• La responsabilité du respect du RGPD incombe au responsable de traitement, qui doit assurer la conformité, notamment en informant les personnes concernées et en sécurisant les données.
• Le sous-traitant doit agir selon les instructions du responsable et respecter un contrat spécifique.
• La sphère privée bénéficie d’une exception domestique, mais le fournisseur de la solution doit respecter le RGPD même dans ce cadre.

💡 À retenir

Le traitement de données personnelles consiste en toute opération sur des informations permettant d’identifier une personne, sous la responsabilité du responsable de traitement, tout en respectant les principes de sécurité, de transparence et de légitimité imposés par le RGPD.

📖 11. Organismes concernés RGPD

🔑 Notions clés & Définitions

• CNIL (Commission Nationale de l’Informatique et des Libertés)
  Autorité administrative indépendante française chargée de veiller à la protection des données personnelles, d’informer, de contrôler et de sanctionner les acteurs traitant des données.
  Point essentiel : Elle garantit la conformité au RGPD en France.

• Responsable de traitement (RT)
  Organisme qui détermine les finalités et les moyens du traitement des données personnelles. Il est responsable de la conformité de la collecte, de l’utilisation et de la conservation des données.
  Point essentiel : Il porte la responsabilité principale du respect du RGPD.

• Sous-traitant (ST)
  Organisme qui traite des données pour le compte du responsable de traitement, selon ses instructions. Il doit respecter des obligations contractuelles et réglementaires.
  Point essentiel : Il intervient dans la gestion des données sous mandat.

• Champ d’application territorial
  La réglementation s’applique à tout organisme établi dans l’UE ou ciblant des personnes situées dans l’UE, indépendamment du lieu où le traitement est effectué.
  Point essentiel : La portée est géographiquement large, incluant aussi les entités hors UE qui ciblent des citoyens européens.

• Exception domestique
  Traitements de données personnelles effectués dans un cadre privé et à usage strictement personnel, qui ne relèvent pas du RGPD.
  Point essentiel : La sphère privée est exclue, sauf si l’organisme fournit une solution ou un service.

📝 Points essentiels

• Le RGPD concerne tous types d’organismes, publics ou privés, quelle que soit leur taille ou secteur d’activité.
• La responsabilité du traitement incombe au responsable de traitement, mais le sous-traitant doit respecter ses obligations.
• La réglementation s’applique selon deux critères : la localisation de l’organisme (établissement dans l’UE) ou le ciblage de personnes dans l’UE.
• La CNIL, le CEPD (Comité Européen de la Protection des Données) et la CJUE (Cour de Justice de l’UE) jouent des rôles complémentaires pour garantir la conformité et l’uniformité du droit.
• La sphère privée bénéficie d’une exception, mais le fournisseur de la solution doit respecter le RGPD.

💡 À retenir

Le RGPD s’applique à toute organisation traitant des données de citoyens européens, qu’elle soit située dans l’UE ou non, et repose sur la responsabilisation des acteurs pour assurer la protection des droits et libertés.

📖 12. Champ territorial RGPD

🔑 Notions clés & Définitions

📝 Points essentiels

• Le RGPD s'applique à toute organisation établie dans l’UE ou ciblant des personnes dans l’UE, même si elle est hors UE.
• La notion d'établissement concerne le lieu où l'organisme a sa résidence principale ou sa direction effective.
• Le critère de ciblage concerne toute activité visant des personnes dans l’UE, comme la commercialisation ou le suivi de comportements.
• La responsabilité de traitement revient à l’organisme qui décide des finalités et moyens du traitement.
• Les traitements à usage privé, sans lien professionnel, sont exemptés (exception domestique), mais le fournisseur de la solution doit respecter le RGPD.

💡 À retenir

Le champ territorial du RGPD couvre toute organisation, qu’elle soit située dans l’UE ou non, qui traite ou cible des données de personnes dans l’UE, garantissant ainsi une protection étendue des données personnelles.

📊 Tableaux de Synthèse

⚠️ Pièges & Confusions Fréquentes

1. Confondre données personnelles et données sensibles : seules ces dernières nécessitent un traitement renforcé.
2. Croire que la loi de 1978 s’applique uniquement aux fichiers papier : elle couvre aussi les traitements électroniques.
3. Confondre responsable de traitement et sous-traitant : responsabilité différente, obligations spécifiques.
4. Penser que la CNIL contrôle uniquement les fichiers numériques : elle contrôle aussi les traitements papier.
5. Confusion entre la directive 95/46/CE et le RGPD : la première est remplacée par le RGPD, qui est plus strict.
6. Mauvaise interprétation de la territorialité du RGPD : s’applique si traitement dans l’UE ou si traitement de données de personnes dans l’UE.
7. Négliger la nécessité d’une analyse d’impact (DPIA) pour certains traitements à risque élevé.

✅ Checklist Examen

• Maîtriser la chronologie de l’évolution de la protection des données (SAFARI, 1978, 1995, 2004, RGPD).
• Connaître la définition de données à caractère personnel.
• Identifier les principales obligations du responsable de traitement.
• Savoir différencier responsable de traitement et sous-traitant.
• Connaître le rôle et les missions de la CNIL.
• Identifier les droits fondamentaux des personnes (accès, rectification, suppression, portabilité).
• Comprendre la notion de données sensibles et leur traitement encadré.
• Connaître les principales différences entre la loi de 1978 et le RGPD.
• Savoir dans quels cas le RGPD s’applique territorialement.
• Vérifier la maîtrise des notions clés du projet SAFARI.
• Connaître les risques liberticides liés au projet SAFARI.
• Identifier les évolutions réglementaires majeures (2004, 2016, 2018).
• Comprendre la notion de traitement de données et ses opérations.
• Vérifier la connaissance des organismes concernés par le RGPD.
• S’assurer de la compréhension de la notion de champ territorial du RGPD.